Аутентификация, авторизация и безопасность в Грид

Содержание

Слайд 2

Marc-Elian Bégin - Demos - 1st EU review

Глоссарий

Объект (защиты):
Пользователь, программа или компьютер
Параметры

Marc-Elian Bégin - Demos - 1st EU review Глоссарий Объект (защиты): Пользователь,
доступа
Некоторые данные, обеспечивающие доказательства идентичности объекта
Аутентификация
Проверка идентичности объекта защиты
Авторизация
Определение множества прав и привилегий для объекта защиты
Конфиденциальность
Шифрование сообщений для того чтобы только получатель мог его расшифровать
Целостность
Гарантия того, что сообщение не было изменено во время передачи

Слайд 3

Marc-Elian Bégin - Demos - 1st EU review

Проблемы (1) - доступ

Как Пользователь

Marc-Elian Bégin - Demos - 1st EU review Проблемы (1) - доступ
может получить безопасный доступ к Ресурсу, не являясь зарегистрированным пользователем промежуточных узлов или хотя бы самого Ресурса?
Как Ресурс узнает, кто такой Пользователь?
Как определять права Пользователя и как определить какой доступ ему разрешён?

Слайд 4

Marc-Elian Bégin - Demos - 1st EU review

Проблемы (2) - уязвимость

Опасность

Marc-Elian Bégin - Demos - 1st EU review Проблемы (2) - уязвимость
атак с других узлов
Большие распределённые кластеры – идеальная мишень для атак злоумышленников (“отказ в обслуживании”)
Незаконное или ненадлежащее распространение данных и доступ к конфиденциальной информации
Огромные доступные ресурсы хранения данных могут быть использованы, например для хранения “пиратской информации”
Всё больше пользователей обладают данными, которые требуют являются конфиденциальными (медицина)
Опасность, связанная с проникновением вирусов, сетевых червей и т.п.
Высокоскоростные сети являются более быстрым источником распространения, чем обычный Интернет

Слайд 5

Marc-Elian Bégin - Demos - 1st EU review

GSI-grid security infrastructure

Три основных аспекта

Marc-Elian Bégin - Demos - 1st EU review GSI-grid security infrastructure Три
безопасности:
Privacy – Обмен сообщениями должен быть приватным.
(доступность передаваемых данных только участникам диалога)
Integrity – Целостность данных, т.е. неизменность передаваемых данных
Authentication – Идентификация сторон, участвующих в диалоге (проверка подлинности объекта)

Слайд 6

Marc-Elian Bégin - Demos - 1st EU review

Шифрование

Криптография – математическая дисциплина, которая

Marc-Elian Bégin - Demos - 1st EU review Шифрование Криптография – математическая
занимается вопросами информационной безопасности и связанными с ней проблемами, особенно шифрованием, аутентификацией и контролем доступа

Алиса

Боб

Исходное сообщение: M
Зашифрованное сообщение: C
Шифрование с ключом K1 : E K1(M) = C
Дешифровка с ключом K2 : D K2(C) = M
Алгоритмы
Симметричный: K1 = K2
Несимметричный: K1 ≠ K2

Слайд 7

Marc-Elian Bégin - Demos - 1st EU review

Симметричный алгоритм

Один и тот же

Marc-Elian Bégin - Demos - 1st EU review Симметричный алгоритм Один и
ключ используется для шифрования и дешифровки
Преимущества
Скорость
Недостатки
Как безопасно передать ключ?
Примеры
DES
3DES
Rijndael (AES)
Blowfish
Kerberos

Алиса

Боб

привет

3$r

Алиса

Боб

3$r

3$r

3$r

привет

привет

привет

Слайд 8

Marc-Elian Bégin - Demos - 1st EU review

Несимметричный алгоритм

У каждого пользователя 2

Marc-Elian Bégin - Demos - 1st EU review Несимметричный алгоритм У каждого
ключа: открытый и закрытый
“невозможно” вычислить значение закрытого ключа по открытому
сообщение, зашифрованное одним ключом может быть расшифровано только при помощи другого
Нет необходимости обмениваться секретной информацией
отправитель зашифровывает при помощи открытого ключа получателя
получатель расшифровывает при помощи своего закрытого ключа
Примеры
Diffie-Helmann (1977)
RSA (1978)

Ключи Боба

Ключи Алисы

открытый

закрытый

Алиса

Боб

3$r

Алиса

Боб

cy7

3$r

cy7

привет

привет

привет

привет

открытый

закрытый

Слайд 9

Marc-Elian Bégin - Demos - 1st EU review

Цифровая подпись

Алиса вычисляет дайджест (hash)

Marc-Elian Bégin - Demos - 1st EU review Цифровая подпись Алиса вычисляет
сообщения
Алиса зашифровывает дайджест, используя свой закрытый ключ: зашифрованное значение и есть цифровая подпись
Алиса отправляет подписанное сообщение Бобу
Боб получает сообщение и вычисляет значение дайджеста
Боб расшифровывает цифровую подпись при помощи открытого ключа Алисы и сравнивает его с вычисленным значением дайджеста
Если оба значения равны, то сообщение не было изменено при передаче

Боб

Алиса

Некоторое
сообщение

Цифровая подпись

Hash(A)

Ключи Алисы

Hash(B)

Hash(A)

открытый

закрытый

Слайд 10

Marc-Elian Bégin - Demos - 1st EU review

Цифровой сертификат

Использование цифровой подписи Алисы

Marc-Elian Bégin - Demos - 1st EU review Цифровой сертификат Использование цифровой
безопасно, если:
Закрытый ключ Алисы остался секретным
Боб знает её открытый ключ
Но как Боб может быть уверен, что открытый ключ, который он знает, на самом деле принадлежит Алисе, а не кому-то, кто выдаёт себя за неё?
Нужна некоторая третья сторона, которая будет гарантировать соответствие между открытым ключом и объектом, которому он принадлежит
Обе стороны, и Алиса и Боб должны доверять этой третьей стороне

Слайд 11

Marc-Elian Bégin - Demos - 1st EU review

Сертификационный центр

Эта третья сторона называется

Marc-Elian Bégin - Demos - 1st EU review Сертификационный центр Эта третья
Сертификационный Центр - Certification Authority (CA).
выдаёт цифровые сертификаты (содержат открытый ключ и идентификационную информацию) для пользователей, программ и машин (подписанные цифровой подписью CA)
при этом проверяет соответствие представленных персональных данных и объекта
Но как это сделать, если сертификационный Центр в Москве, а пользователь – в Санкт-Петербурге?
Возникает сообщество Ответственных за Регистрацию Registration Authority (RA)

Слайд 12

Marc-Elian Bégin - Demos - 1st EU review

Получение сертификата

Подписанный открытый ключ передается

Marc-Elian Bégin - Demos - 1st EU review Получение сертификата Подписанный открытый
пользователю

Закрытый ключ
шифруется на локальном диске

На подпись передается открытый ключ

Пользователь создаёт пару ключей
Открытый / Закрытый

Для подписи необходимо удостоверение личности,
которое предъявляется RA

СА подписывает открытый ключ с помощью своего корневого сертификата и информирует пользователя

Центр cертификации

Слайд 13

Marc-Elian Bégin - Demos - 1st EU review

X.509 сертификаты

Public key

Subject:C=CH, O=CERN, OU=GRID,

Marc-Elian Bégin - Demos - 1st EU review X.509 сертификаты Public key
CN=Andrea Sciaba 8968
Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA
Expiration date: Aug 26 08:08:14 2005 GMT
Serial number: 625 (0x271)

CA Digital signature

Структура сертификата X.509

X.509 сертификат содержит:
открытый ключ владельца;
данные владельца;
информация о CA;
срок действия;
серийный номер;
цифровая подпись CA

Слайд 14

Marc-Elian Bégin - Demos - 1st EU review

Как работают сертификаты

A

Б

Боб (Б) хочет

Marc-Elian Bégin - Demos - 1st EU review Как работают сертификаты A
аутентифицировать Алису (А

Слайд 15

Marc-Elian Bégin - Demos - 1st EU review

Сертификаты

В зависимости от способа получения

Marc-Elian Bégin - Demos - 1st EU review Сертификаты В зависимости от
сертификата он может быть получен в различных форматах:
*.pem формат: 2 файла: userkey.pem – закрытый ключ, usersert.pem – подписанный сертификат)
*.p12 формат (PKCS12): один файл - для загрузки в браузер Mozilla/Netscape/FireFox
*.pfx формат: один файл - для загрузки в браузер Internet Explorer
Как правило, сертификат должен быть загружен в браузер (регистрация в ВО)
Процедура экспорта/импорта зависит от типа используемого браузера и формата сертификата
Сертификат имеет срок действия (от 2 недель до 1 года)
По истечению срока действия он может быть продлён

Слайд 16

Marc-Elian Bégin - Demos - 1st EU review

Proxy-сертификат

Проблемы:
Single sign-on Delegation

(однократное предъявление

Marc-Elian Bégin - Demos - 1st EU review Proxy-сертификат Проблемы: Single sign-on
первичного закрытого ключа)

Proxy-сертификат
(расширение X.509)

Применение proxy-сертификата для
аутентификации избавляет пользователя
от необходимости вводить свой пароль
при каждом взаимодействии с сервисами.

Mожно передавать свои
proxy-cертификаты
другим субъектам для выполнения
операций от своего имени.

Ограниченное время действия и ограниченное назначение

делегирование полномочий

Слайд 17

Marc-Elian Bégin - Demos - 1st EU review

Долговременные proxy

Proxy сертификат имеет достаточно

Marc-Elian Bégin - Demos - 1st EU review Долговременные proxy Proxy сертификат
короткое время жизни (обычно не более 24 часов). А как быть, если заданию требуется больше времени для выполнения?
в HEP Data Challenges в LCG некоторые задания выполнялись до 2 суток
Выход – создание специального сервиса для автоматического обновления сертификатов (MyProxy server)
Proxy-сертификат можно зарегистрировать на сервере Myproxy и он будет обновляться в течение указанного периода времени (по умолчанию 7 суток)
При этом соответствующий запрос будет проходить через Myproxy server

Слайд 18

Marc-Elian Bégin - Demos - 1st EU review

Виртуальные организации

«Динамическое собрание одиночек и

Marc-Elian Bégin - Demos - 1st EU review Виртуальные организации «Динамическое собрание
организаций, гибко, безопасно и координировано разделяющее ресурсы»
Пользователь Грид обязан принадлежать к одной из ВО
ВО согласовывают доступ к Грид-узлам и ресурсам
Авторизация проверяется на ресурсе
ВО с технической точки зрения: ресурс, перечисляющий Distinguished Names сертификатов пользователей конкретной ВО
Реализационно ВО ведёт список своих членов на специальном сервере (LDAP Server)
этот список распространяется на все узлы, где поддерживается эта ВО
сопоставляется с локальными пользователями, зарегистрированными на этом узле (обычно выполняется через файл grid-mapfiles)
..
"/C=CH/O=CERN/OU=GRID/CN=Simone Campana 7461” .dteam
"/C=CH/O=CERN/OU=GRID/CN=Andrea Sciaba 8968" .cms

Слайд 19

Marc-Elian Bégin - Demos - 1st EU review

Эволюция системы управления ВО

До VOMS
Пользователь

Marc-Elian Bégin - Demos - 1st EU review Эволюция системы управления ВО
может быть членом только одной ВО
Все члены ВО имеют одинаковые права
Grid-mapfiles модифицируются только системой управления ВО
grid-proxy-init

С VOMS
Пользователь может быть членом нескольких ВО
Объединение прав
ВО может иметь группы
Различные права для каждой
Различные группы экспериментаторов
Связанные группы
ВО может иметь роли
Назначаются для особых целей
Напр. sysadmin
При создании Proxy сертификата вводится дополнительный атрибут – имя ВО
voms-proxy-init –voms gilda

VOMS – используется сейчас в Грид EGEE

Слайд 20

Marc-Elian Bégin - Demos - 1st EU review

Итоги (1)

Аутентификация основывается на использовании

Marc-Elian Bégin - Demos - 1st EU review Итоги (1) Аутентификация основывается
сертификатов стандарта X.509
Устанавливаются отношения доверия между Certificate Authorities (CA) и узлами, между CAs и пользователями
CAs выдаёт/подписывает (долгоживущие) сертификаты, идентифицирующие узлы и пользователей (аналог паспорта)
Широко используется в браузерах для аутентификации сайтов
Для того, чтобы уменьшить уязвимость, в Грид для идентификации пользователей используются (короткоживущие) proxy их сертификатов
Proxy сертификаты могут
Быть делегированы сервису для того чтобы он мог действовать от имени пользователя
Включать дополнительные атрибуты (например информацию о ВО для VOMS)
Быть зарегистрированными на внешнем хранилище (MyProxy)
Быть обновлены (в случае истечения срока действия)

Слайд 21

Marc-Elian Bégin - Demos - 1st EU review

Итоги (2)

Аутентификация
Пользователь получает сертификат от

Marc-Elian Bégin - Demos - 1st EU review Итоги (2) Аутентификация Пользователь
Certificate Authorities (CA)
Соединяется с UI по SSH (UI – сервис пользовательского интерфейса)
Загружает сертификат на UI
“Входит” в Грид - создание proxy
GSI (Grid Security Infrastructure)
Авторизация
Пользователь вступает в ВО
ВО согласовывает доступ к Грид-узлам и ресурсам
Авторизация проверяется на ресурсе
Права пользователя определяются информацией из его proxy

CA

VO mgr

Ежегодно

VO database

Определяет права доступа

GSI

VO service

Ежедневно

Слайд 22

Marc-Elian Bégin - Demos - 1st EU review

Сертификационный центр РДИГ

Расположен в Курчатовском

Marc-Elian Bégin - Demos - 1st EU review Сертификационный центр РДИГ Расположен
институте http://ca.grid.kiae.ru/RDIG/.
Ознакомиться с правилами и процедурой можно на страничке http://ca.grid.kiae.ru/RDIG/certificates/obtain.html.

Слайд 23

Marc-Elian Bégin - Demos - 1st EU review

Форма заявки на сертификат

Marc-Elian Bégin - Demos - 1st EU review Форма заявки на сертификат

Слайд 24

Marc-Elian Bégin - Demos - 1st EU review

Регистрация в ВО

Центр регистрации для

Marc-Elian Bégin - Demos - 1st EU review Регистрация в ВО Центр
виртуальных организаций LCG
https://lcg-registrar.cern.ch/virtual_organization.html
Центр регистрации для виртуальных организаций РДИГ
http://rdig-registrar.sinp.msu.ru/virtual_organization.html

Слайд 25

Marc-Elian Bégin - Demos - 1st EU review

Виртуальные организации LCG

Marc-Elian Bégin - Demos - 1st EU review Виртуальные организации LCG
Имя файла: Аутентификация,-авторизация-и-безопасность-в-Грид.pptx
Количество просмотров: 240
Количество скачиваний: 1